El actor de amenazas conocido como Zorro plateado ha sido trillado orquestando una operación de bandera falsa para imitar a un conjunto de amenaza ruso en ataques dirigidos a organizaciones en China.
La campaña de envenenamiento de optimización de motores de búsqueda (SEO) aprovecha los señuelos de Microsoft Teams para engañar a usuarios desprevenidos para que descarguen un archivo de instalación pillo que conduce a la implementación de ValleyRAT (Winos 4.0), un conocido malware asociado con el conjunto de cibercrimen chino. La actividad está en marcha desde noviembre de 2025.
“Esta campaña está dirigida a usuarios de acento china, incluidos aquellos internamente de organizaciones occidentales que operan en China, utilizando un cargador ‘ValleyRAT’ modificado que contiene principios cirílicos, probablemente un movimiento intencional para engañar a la atribución”, dijo el investigador de ReliaQuest, Hayden Evans, en un mensaje compartido con The Hacker News.
ValleyRAT, una variación de Gh0st RAT, permite a los actores de amenazas controlar de forma remota los sistemas infectados, filtrar datos confidenciales, ejecutar comandos arbitrarios y abastecer la persistencia a grande plazo internamente de las redes específicas. Vale la pena señalar que el uso de Gh0st RAT se atribuye principalmente a grupos de hackers chinos.
El uso de Teams para la campaña de envenenamiento de SEO marca un alejamiento de esfuerzos anteriores que han aplicado otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la sujeción de infección.
La campaña de SEO tiene como objetivo redirigir a los usuarios a un sitio web embustero que presenta una opción para descargar el supuesto software Teams. En ingenuidad, un archivo ZIP llamado “MSTчamsSetup.zip” se recupera de una URL de Alibaba Cloud. El archivo utiliza principios lingüísticos rusos para confundir los esfuerzos de atribución.
Interiormente del archivo está “Setup.exe”, una interpretación troyanizada de Teams que está diseñada para escanear procesos en ejecución en sondeo de archivos binarios relacionados con 360 Total Security (“360tray.exe”), configurar exclusiones de Microsoft Defender Antivirus y escribir la interpretación troyanizada del instalador de Microsoft (“Verifier.exe”) en la ruta “AppDataLocal” y ejecutarlo.
El malware continúa escribiendo archivos adicionales, incluidos “AppDataLocalProfiler.json”, “AppDataRoamingEmbarcaderoGPUCache2.xml”, “AppDataRoamingEmbarcaderoGPUCache.xml” y “AppDataRoamingEmbarcaderoAutoRecoverDat.dll”.
En el futuro paso, carga datos de “Profiler.json” y “GPUcache.xml” y garrocha la DLL maliciosa en la memoria de “rundll32.exe”, un proceso cierto de Windows, para suceder desapercibido. El ataque pasa a la etapa final en la que el malware establece una conexión a un servidor forastero para recuperar la carga útil final y suministrar el control remoto.
“Los objetivos de Silver Fox incluyen ganancias financieras a través de robos, estafas y fraudes, adjunto con la colección de inteligencia sensible para obtener ventajas geopolíticas”, dijo ReliaQuest. “Los objetivos enfrentan riesgos inmediatos como violaciones de datos, pérdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una nulidad plausible, lo que le permite actuar discretamente sin financiación gubernativo directa”.
La divulgación se produce cuando Nextron Systems destacó otra sujeción de ataque ValleyRAT que utiliza un instalador troyano de Telegram como punto de partida para iniciar un proceso de varias etapas que finalmente entrega el troyano. Este ataque incluso se destaca por servirse la técnica Bring Your Own Relajado Driver (BYOVD) para cargar “NSecKrnl64.sys” y finalizar los procesos de la decisión de seguridad.
“Este instalador establece una salvedad peligrosa de Microsoft Defender, prepara un archivo protegido con contraseña adjunto con un binario 7-Zip renombrado y luego extrae un ejecutable de segunda etapa”, dijo el investigador de seguridad Maurice Fielenbach.
“Ese orquestador de segunda etapa, men.exe, implementa componentes adicionales en una carpeta bajo el perfil de afortunado conocido, manipula los permisos de los archivos para resistir la higiene y configura la persistencia a través de una tarea programada que ejecuta un script VBE codificado. Este script, a su vez, garrocha un cargador de controladores abandonado y un binario firmado que descarga la DLL ValleyRAT”.
Men.exe incluso es responsable de enumerar los procesos en ejecución para identificar los procesos relacionados con la seguridad de los terminales, así como de cargar el regulador abandonado “NSecKrnl64.sys” usando “NVIDIA.exe” y ejecutar ValleyRAT. Por otra parte, uno de los componentes esencia eliminados por el binario del orquestador es “bypass.exe”, que permite la ascensión de privilegios mediante una omisión del Control de cuentas de afortunado (UAC).
“En la superficie, las víctimas ven a un instalador corriente”, afirma Fielenbach. “En segundo plano, el malware almacena archivos, implementa controladores, altera las defensas y finalmente garrocha una baliza ValleyRat que mantiene el llegada al sistema a grande plazo”.
